摘要:又名游侠客的程序员,能不能用点心上周交了块钱报名参加了游侠客组织的武汉荧光夜跑活动。这次参加活动,也是第一次参加活动,感觉挺不错的。但跑步太拼了,就早休息了。随便给其他几个人投票,观察了下,就知道是投票人,是被投票人。
又名:游侠客的程序员,能不能用点心
上周交了9块钱报名参加了游侠客组织的武汉荧光夜跑活动。我跑步有一年了,基本上是一个人在跑。这次参加活动,也是第一次参加活动,感觉挺不错的。
五六百人参赛,文化衫和脸上的涂鸦,彩色的荧光棒,活泼的妹子们,现场气氛很不错!
起跑前:
我在挤到了四五排的位置:
五公里健康跑,我拼了老命,以第十名到达终点(那个唯一没看镜头的就是我):
但实际上这是一场自拍比赛:跑步是不设奖项的,现场拍照上传,然后投票评比才有奖品。反正我也喜欢拍照,就也上传了,并分享了朋友圈看能不能拉到票。
重点来了。朋友说投票需要输入手机号,然后获取验证码才能进入投票页面。我也有给别人投票的经验,但是填验证码投票的,还没见过。但跑步太拼了,就早休息了。
第二天起床,想看看能不能给自己加点人气,于是不抱任何希望的打开了chrome,debug一下投票网页:
点击投票后给了我这个页面:
做过微信,明白这个是微信页面的限制,于是我从PC微信打开了该页面。为了看看到底页面发了个什么请求,立马下载了fiddler(黑客技术真不会,fiddler基本操作还是会的)。
点击投票时,页面发送了一个GET请求(是的,GET请求):
该请求只有两个参数,uid和pid。随便给其他几个人投票,观察了下,就知道uid是投票人id,pid是被投票人id。
于是进入我自己的投票页面,找到自己的pid,再进入另外一个人的投票页面,找到他的pid,作为给我投票的uid,这样就能完成他给我投票的过程了。
拼了一个URL,往chrome地址栏一放,回头看看我的票数就加了一个。再刷新一下,哦,告诉我已经投过了不能重复投。
好奇的尝试了下,uid不使用别人的pid,而随便用个数字呢?意外的发现,随意一个数字都能投票!
这样就简单的有点过分了,IP,id,跨域,请求间隔都没有做限制。简单一个脚本,随意在哪个页面上一跑,想拿什么奖都可以了。
function vote (targetId) { let image = new Image() let uid = Date.now() image.src = `http://m.youxiake.com/h5/run_vote?uid=${uid}&pid=${targetId}` }
回头看看那个输入手机号获取验证码才能投票的限制... 游侠客的程序员们,能不能用点心
不敢给自己刷第一名,对第一名奖品也没兴趣。但是我对“土豪大礼包”还是很好奇的。那就维持下自己第5到10名的排名吧。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/83523.html
摘要:阿毛哥是组的开发,同时也是语言圈的大佬。阿毛哥那边计划是魔改一版,来达成特定表的数据从远程服务加载这个需求。下午的我们排在最后出场,由胡争出场演示。略有遗憾的是当时胡争可能是过于激动,关于具体有哪些实用场景没有细说。 本文作者是来自 TiNiuB 队的黄梦龙同学,他们的项目 TiQuery 在本届 TiDB Hackathon 2018 中获得了三等奖。 TiQuery 可以搜集诊断...
摘要:而过去发生的一切,恍若昨天我一直都有个计划每隔半年写一篇总结以记录我的大学生活,回看过去,总结不足,这便是我当初写这个专题的目的。在大一结束的时候,我也写过一篇一年总结记我的大一生活。 ...
阅读 2440·2021-11-19 09:40
阅读 3562·2021-11-17 17:08
阅读 3750·2021-09-10 10:50
阅读 2180·2019-08-27 10:56
阅读 1888·2019-08-27 10:55
阅读 2622·2019-08-26 12:14
阅读 973·2019-08-26 11:58
阅读 1478·2019-08-26 10:43